にしのクエスト2

情報処理技術者試験と資格学校講師の日常

20240615101703

まいにちセキュマネ 令和元年秋午前1問題解説 問1 問2 問3

新シリーズの開幕です!

#KEEP LEARNING   #STAY HOME

f:id:koharuwest:20200419101216p:plain


情報処理技術者試験 セキュリティマネジメント令和
元年秋午前
問題(全50問)を解いていきます。

※レベルとしては応用情報のセキュリティくらいはあると
思います。結構難しいですよ。

問題の解き
方や考え方をわかりやすく、解説してみる
連載です。

※問題の引用についてはIPAのルールを遵守しています。

 

問1
BEC(Business E-mail Compromise)に該当するもの
はどれか。

ア 巧妙なだましの手口を駆使し、取引先になりすま
  して偽の電子メールを送り、金銭をだまし取る。
イ 送信元を攻撃対象の組織のメールアドレスに詐称
  し、多数の実在しないメールアドレスに一度に大
  量の電子メールを送り、攻撃対象の組織のメール
  アドレスを故意にブラックリストに登録させて利
  用を阻害する。
ウ 第三者からの電子メールが中継できるように設定
  されたメールサーバを、スパムメールの中継に悪
  用する。
エ 誹誘中傷メールの送信元を攻撃対象の組織のメー
  ルアドレスに詐称し、組織の社会的な信用を大き
  く損なわせる。

問2
参加組織及びそのグループ企業において検知されたサ
イバー攻撃などの情報を、IPAが情報ハブになって
集約し、参加組織間で共有する取組はどれか。

ア CRYPTREC
イ CSIRT
ウ J−CSIP
エ JISEC


問3
JIS Q 27001:2014(情報セキュリテ
ィマネジメントシステム−要求事項)において、リス
クを受容するプロセスに求められるものはどれか。

ア 受容するリスクについては、リスク所有者が承認
  すること
イ 受容するリスクを監視やレビューの対象外とする
  こと
ウ リスクの受容は、リスク分析前に行うこと
エ リスクを受容するかどうかは、リスク対応後に決
  定すること

 

 
(解答と解説)

問1
BECはビジネスメール詐欺のことでし。

ア 巧妙なだましの手口を駆使し、取引先になりすま
  して偽の電子メールを送り、金銭をだまし取る。

問2
IPA関連組織問題です。毎回何かしら出ますね。

ウ J−CSIP

問3
リスクを受容するとは、わかっていながら見逃すこと。
そのプロセスに求められるものはどれか?と聞いてま
す。


ア 受容するリスクについては、リスク所有者が承認
  すること

これ以外はできないんですよね。